\section{Descripción de la organización}

Ingeniería, Investigación e Innovación para Internet, S.L. (I3NET) surge a
mediados del año 2010 gracias a la iniciativa de una persona que veía
cómo era posible ofrecer soluciones integrales a las PYMES Gaditanas
en las áreas de desarrollo web, imagen corporativa, soporte técnico,
innovación y formación; ofreciendo así a nuestros clientes todas las
soluciones posibles bajo un mismo proveedor.

La empresa ofrece los siguientes servicios:
\begin{itemize}
\item Desarrollo de sitios web.
\item Desarrollo de aplicaciones locales.
\item Servicios ISP.
\item Asistencia Técnica
\item Webconference
\item E-learning
\item Videos streaming
\end{itemize}

La empresa está ubicada en un edificio público situado en 
el casco histórico de Cádiz; donde se encuentran las oficinas en las que
trabajan el personal administrativo así como el grupo de ingenieros.

La empresa se encuentra dividad en los distintios departamentos:
\begin{itemize}
\item Departamento recursos humanos.
\item Departamento directivos.
\item Departamento informático.
\item Departamento marketing
\end{itemize}

Los roles que se desempeñan dentro de la empresa son los siguientes:
\begin{itemize}
\item Directivos (Departamento directivos): responsables de llevar un control de los ingresos y gastos que tiene la empresa.
\item Gerente (Departamento directivos): máximo responsable dentro del correcto funcionamiento de la organización.
\item Responsable de seguridad (Departamento informática): será el encargado de supervisar todos los aspectos
tratados en la Política como de la modificación y redacción de dicho documento.
También será el responsable de realizar las copias de seguridad y restauración de las mismas.
\item Administrador de sistemas (Departamento informática): encargado del mantenimiento de la red y de los servidores.
\item Jefe de proyecto (Departamento informática): se encarga de distribuir los plazos de la entrega de proyectos así como
de asignar las tareas y coordinar a cada empleado bajo su cargo.
\item Programadores (Departamento informática): se encargar de realizar el código de las aplicaciones.
\item Analita-Programador (Departamento informática): se encargar de detallar requisitos funcionales y de programar
las partes más delicadas del código.
\item Administrador BBDD (Departamento informática): se encarga del diseño físico y lógico de las bases de datos así como
de su mantenimiento.
\item Jefe de recursos humanos (Departamento recursos humanos): encargado de atender los posibles problemas humanos dentro de la empresa
así como de llevar a cabo una preselección para la contratación del personal. A la hora de contratar personal,
el último visto bueno lo realizará el jefe de cada departamento según en el cual se vaya a contratar a dicha persona.
\item Contables (Departamento recursos humanos): llevan a cabo un control de las nóminas, también de realizar los pagos y cobros dentro de la 
organización.
\item Secretario (Departamento recursos humanos): encargado de llevar el control de las vacaciones de los empleados así como de rellenar el papeleo oportuno
y de la creación y borrado de las cuentas de correo electrónico dentro de la empresa.
\item Comerciales (Departamento de marketing): realiza la labor de venta del software/servicios que ofrece la empresa, como también realiza la labor de
de captar clientes y negociar con los mismos.
\end{itemize}

Además la empresa cuenta con dos servidores, uno de ellos situado en
el mismo edificio y el otro en la localidad de Puerto Real (Cádiz).

\figura{organigrama.png}{scale=0.5,
  angle=90}{Organigrama de la empresa}{}{h}

\section{Objetivos y alcance de la política}

La presente Política de Seguridad se dicta en cumplimiento de las disposiciones
legales vigentes, con el objeto de gestionar adecuadamente la seguridad de la
información, los sistemas informáticos y el ambiente tecnológico de la organización.
Por tanto, es necesario que se cumplan exhaustivamente cada uno de los puntos de este
documento, incluyendo los anexos, tanto por el
personal interno de la organización, como externos, sea cual fuere su nivel 
jerárquico dentro de la misma. En este documento se detallará la seguridad
referente a los datos de las aplicaciones desarrolladas en la empresa,
así como los datos de los empleados y las responsabilidades de los mismos.

\section{Gestión de cambios de la política}

Una petición de cambio podrá ser formulada por cualquier integrante de la empresa.
Dicha petición se realizará mediante la redacción y entrega 
al responsable de un formulario~\S{}Anexo~\ref{fomularioFalloSeguridad}, 
en el que constará el nombre de la persona uqe 
realiza la petición, el fallo de seguridad encontrado y la importancia de ésta.
La petición será entregada al responsable y revisada por el mismo,
si se aprueba y se hace el cambio en la política, se enviará de nuevo a todo
el personal en formato digital, a través del correo electrónico de la empresa.
Si el cambio es muy importante, se entregará impresa para tener
seguridad de que todos han recibido la política con los cambios.

Además de esto, se llevará a cabo una revisión completa de la política
de seguridad cada cuatro años, siendo el mes de enero el indicado para
realizarla.

\section{Organización de la seguridad}

Esta Política se aplica en todo el ámbito de la organización y cada uno de los integrantes de los
diferentes departamentos que conforman el organismo son responsables tanto de la implementación
de la Política de seguridad dentro de sus respectivas áreas, como de asegurarse que su equipo de
trabajo realiza el cumplimiento de la misma.

Cualquier empleado de la empresa podrá identificar algún riesgo de seguridad para la empresa.
Dicho empleado deberá contactar con su superior para notificar dicho riesgo y éste (jefe
de proyeto o jefe de recursos humanos) deberá cumplimentar la solicitud de cambio de
la política de seguridad al gerente.

Los directivos son los responsables de aprobar la Política de Seguridad, así como 
de autorizar las posibles modificaciones a las que se vea sometida.

El gerente se encargará de revisar la Política y ponerla a disposición de la máxima autoridad
para su aprobación. Además, tendrá que gestionar los riesgos que afecten a los recursos
de información frente a posibles amenazas; tomará conocimiento de los incidentes relativos a
la seguridad; aprobará iniciativas para aumentar la seguridad de la información, etc. En definitiva,
será el responsable de coordinar e impulsar la implementación y cumplimiento de la Política.

Los Jefes de Proyectos serán los encargados de supervisar todos los aspectos
tratados en la Política. Así pues, serán responsables de clasificar la información manipulada de
acuerdo con el grado de sensibilidad y criticidad de la misma, de documentar esa clasificación,
y de definir qué usuarios tendrán permisos de acceso a la información, teniendo en cuenta las
funciones y competencias de los mismos. Además se encargará de efectuar
las tareas de desarrollo y mantenimiento de los sistemas, siguiendo una metodología adecuada y
que contemple la inclusión de medidas de seguridad en cada una de las fases.

El Jefe de Recursos Humanos deberá notificar a todo el personal que
ingresa a la organización, de sus obligaciones con respecto al cumplimiento de la Política de
seguridad de la información y de todas las normas. También deberá notificar, a los empleados, las
modificaciones que se realicen en la Política y de presentar los compromisos de confidencialidad
en materia de seguridad.

El Secretario del jefe de recursos humanos verificará el cumplimiento de la Política en la gestión de
todos los contratos de la organización con sus empleados y con terceros.

El administrador de base de datos será el responsable de todos los aspectos que
conciernen a la base de datos de la organización. En general, esto incluye lo siguiente:
\begin{itemize}
\item Verificar o ayudar a la verificación en la integridad de datos.
\item Definir o implementar controles de acceso a los datos.
\item Ayudar a los programadores e ingenieros a utilizar eficientemente la base de datos.
\item Crear y probar copias de seguridad de los datos.
\item Asegurar la disponibilidad de los datos.
\item Los usuarios de la información y de los sistemas son responsables de conocer y cumplir la Política
de seguridad de la información.
\end{itemize}
